Gerenciar sua própria chave principal do cliente

Sobre as chaves principais do cliente

Como parte do nosso compromisso com a segurança de ponta a ponta, a Webex tem uma chave principal em nome de cada organização. Chamamos de chave principal porque ela não criptografa o conteúdo diretamente, mas é usada para criptografar as outras chaves da sua organização que criptografam o conteúdo. O nível base da hierarquia de chaves é chamado de chave de conteúdo (CK) e os níveis intermediários das chaves são chamados de chaves de criptografia de chave (KEK).

Reconhecemos que algumas organizações preferem gerenciar a própria segurança, por isso, estamos dando a você a opção de gerenciar sua própria chave principal do cliente (CMK). Isso significa que você assume a responsabilidade por criar e girar (recriptografar) a chave mestra que o Webex usa para criptografar suas chaves de criptografia de conteúdo.

No futuro, uma chave se refere à CMK, a menos que especificado de outra forma.

Como funciona

O Webex mantém sua CMK em um módulo de segurança de hardware (HSM) para que os serviços Webex não tenham acesso ao valor da CMK.
O Control Hub mostra a CMK ativa ou revogada no momento e qualquer CMK pendente armazenada no HSM. Quando você precisa girar (recriptografar) o CMK, você gera seu novo CMK e criptografa-lo com a chave pública do HSM, de modo que apenas o HSM pode descriptografar e armazená-lo.
Em seguida, você carrega e ativa a nova CMK no Control Hub. O Webex começa imediatamente a usar a nova CMK para criptografar suas chaves de conteúdo. O Webex mantém a CMK antiga, mas somente até ter certeza de que suas chaves de criptografia de conteúdo estão protegidas pela nova CMK.

Não recriptografamos retroativamente todo o conteúdo existente. Depois de ativar o CMK, todo o novo conteúdo (Espaços e Reuniões) será recriptografado e protegido.

Sobre as chaves AWS KMS

Reconhecemos que algumas organizações preferem gerenciar sua própria chave fora do Webex. É por isso que estamos dando a você a opção de gerenciar seu próprio CMK no Amazon Web Services (AWS) Key Management Service (KMS). Isso implica que você é responsável por gerenciar suas chaves no AWS KMS. Você autoriza o Webex a criptografar e descriptografar usando sua chave AWS KMS através do console AWS. Você fornece ao Webex sua ID de chave AWS KMS em vez de seu CMK. Isso significa que você assume a responsabilidade por criar e girar (recriptografar) a chave AWS KMS que o Webex usa para criptografar suas chaves de criptografia de conteúdo na nuvem.

Como funciona

Você cria uma chave com o AWS. O AWS KMS é usado para gerenciar sua chave e armazena a chave em um módulo de segurança de hardware (HSM).
Você fornece ao Webex acesso para usar a chave AWS KMS através do console AWS.

Isso significa que, em vez de carregar seu CMK no Control Hub, você fornecerá ao Webex acesso à chave AWS KMS. A chave AWS KMS não deixa seu AWS KMS e os serviços Webex não têm acesso ao material da chave AWS KMS.

O Control Hub mostra a chave KMS do AWS ativa ou revogada e qualquer chave KMS do AWS pendente armazenada no KMS do AWS. Quando você precisa girar a chave AWS KMS, você gera sua nova chave AWS KMS com o console AWS KMS.
Em seguida, você adiciona e ativa a nova chave AWS KMS no Control Hub, fornecendo-a com o nome de recurso da Amazon (ARN) da nova chave AWS KMS. O Webex imediatamente começa a usar a nova chave AWS KMS para criptografar as chaves de conteúdo. O Webex não requer mais a antiga chave AWS KMS. A antiga chave AWS KMS desaparecerá do Control Hub depois que as chaves de criptografia de conteúdo forem rotacionadas e protegidas pela nova chave AWS KMS. O Webex não exclui a chave AWS KMS do AWS KMS. O administrador do cliente pode remover a chave do AWS KMS.

Estados-chave e ciclo de vida

Ciclo de vida da chave

Definições de estado de chave

Pendente

Uma chave nesse estado é armazenada no HSM, mas ainda não é usada para criptografia. O Webex não usa essa CMK para criptografia.

Somente uma chave pode estar nesse estado.

Ativo

Webex está atualmente usando esta CMK para criptografar outras chaves para sua organização.

Somente uma chave pode estar nesse estado.

Rotação

O Webex está temporariamente usando esta CMK. O Webex precisa dele para descriptografar seus dados e chaves que foram criptografados anteriormente por essa chave. Esta chave é aposentada quando a rotação (recriptografia) está concluída.

Várias chaves podem estar nesse estado se uma nova chave for ativada antes da conclusão da rotação.

Desativado

O Webex não está usando esta CMK. Esta chave não é mais usada para criptografia. Um tempo de vida útil da chave é definido, após o qual essa chave é removida do HSM.

Revogado

O Webex não está usando esta CMK. Mesmo que haja dados e chaves que foram criptografados com essa chave, o Webex não poderá usá-la para descriptografar os dados e as chaves.

Você só precisa revogar uma chave ativa se suspeitar que ela está comprometida. Essa é uma decisão séria, pois impede que muitas operações se comportem corretamente. Por exemplo, você não poderá criar novos espaços e não poderá descriptografar qualquer conteúdo no Webex Client.
Somente uma chave pode estar nesse estado. Você deve reativar essa chave para girar (recriptografar) uma nova chave.
Esta CMK pode ser excluída, mas você não tem que excluí-la. Você pode querer mantê-lo para descriptografia / recriptografia depois de resolver a violação de segurança suspeita.

Excluída

O Webex não está usando esta CMK. O comportamento nesse estado é o mesmo que no estado Revogado, exceto que um tempo de vida útil da chave é definido, após o qual essa chave é removida do HSM.

Se uma CMK excluída avançar para o estado Removida, você deverá recuperar a chave original para restaurar a funcionalidade da organização.

Recomendamos que você mantenha uma cópia de backup da sua chave original, caso contrário, sua organização não funcionará mais.

Removido

Esse é um estado lógico. O Webex não tem essa CMK armazenada no HSM. Não é exibido no Control Hub.

Requisitos

Propriedade

Ao assumir a propriedade da sua CMK, você deve:

Assuma a responsabilidade pela criação segura e faça backup de suas chaves
Entender as implicações de perder suas chaves
Recriptografe seu CMK ativo pelo menos uma vez por ano como uma prática recomendada

Criação de chave

Você deve criar sua própria CMK usando esses parâmetros. Sua chave deve ser:

256 bits (32 bytes) de comprimento
Criptografado com o esquema RSA-OAEP
Criptografado com a chave pública do HSM em nuvem Webex

Seu software de geração de chaves deve ser capaz de:

Função de hash SHA-256
Função de geração de máscara MGF1
Preenchimento OAEP PKCS#1

Consulte Exemplo: Criar e criptografar chaves com OpenSSL na guia Recursos neste artigo.

Autorização

Você deve ter acesso à sua organização Webex no Control Hub. Você deve ser um administrador completo para gerenciar sua CMK.

Criar e ativar a chave principal do cliente

1	Inicie sessão no Control Hub.
2	Ir para Configurações da organização > Gerenciamento de chaves . Para ativar o BYOK, alterne Traga sua própria chave (BYOK) ativado. Se você desabilitar BYOK, o Chave padrão comum do Webex torna-se a chave principal para sua organização.
3	Selecione Carregar uma chave personalizada e clique em Próximo .
4	Clique Baixar chave pública . Salve a chave pública do Webex HSM em um arquivo .pem no sistema local.
5	Crie uma chave aleatória de 256 bits (32 bytes) criptograficamente segura usando seu software de gerenciamento de chaves.
6	Use a chave pública Webex HSM para criptografar sua nova chave. Os parâmetros de criptografia necessários são: Esquema RSA-OAEP Função de hash SHA-256 Função de geração de máscara MGF1 Preenchimento OAEP PKCS#1 Consulte Exemplo: Criar e criptografar chaves com OpenSSL na guia Recursos neste artigo.
7	Arraste a chave criptografada do sistema de arquivos e solte-a na área de carregamento da interface do Control Hub ou clique em Escolher um arquivo .
8	Clique em Próximo. O Webex carrega sua chave no HSM, onde ela é descriptografada e validada. Em seguida, o Control Hub mostra o ID da sua nova CMK e o ID da CMK ativa no momento, se houver. Se esta for sua primeira CMK, a chave ativa no momento será a Chave padrão comum do Webex (a que usamos atualmente para criptografar as chaves da sua organização).
9	Escolha como você deseja ativar sua chave: Ativar nova chave : A nova CMK entra imediatamente no estado Ativo. O CMK ativo anteriormente entra em Rotação (estado de recriptografia), até que todo o conteúdo seja protegido pelo novo CMK, após o qual o Webex exclui o CMK ativo anteriormente. Ativar mais tarde : A nova CMK é movida para o estado Pendente. O Webex mantém esta CMK no HSM, mas ainda não a usa. O Webex continua usando a CMK atualmente ativa para criptografar as chaves da sua organização.

O que fazer em seguida

Não recriptografamos retroativamente todo o conteúdo existente. Depois de ativar o CMK, todo o novo conteúdo (Espaços e Reuniões) será recriptografado e protegido.

Gire sua chave

1	Inicie sessão no Control Hub.
2	Ir para Configurações da organização > Gerenciamento de chaves .
3	Vá para o CMK ativo.
4	Clique e selecione Girar .
5	Crie e criptografe uma nova chave (se você ainda não tiver feito isso). O processo é descrito em Criar e ativar a chave principal do cliente neste artigo.
6	Arraste a nova chave do seu sistema de arquivos e solte-a no Control Hub.
7	Clique Ativar nova chave . A nova chave que você carregou entra no estado Ativo. O antigo CMK permanece em Rotação (estado de recriptografia) até que o Webex termine de criptografar todo o conteúdo com o novo CMK ativo. Depois de recriptografar, a chave é movida para o estado Aposentado. O Webex exclui a CMK antiga.

Revogar sua chave

1	Inicie sessão no Control Hub.
2	Ir para Configurações da organização > Gerenciamento de chaves .
3	Vá para a tecla ativa.
4	Clique e selecione Revogar .
5	Confirme a revogação da chave. Pode até 10 minutos para revogar totalmente sua chave.

Reative a chave revogada

1	Inicie sessão no Control Hub.
2	Ir para Configurações da organização > Gerenciamento de chaves .
3	Vá para a chave atualmente revogada.
4	Clique e selecione Ativar .
5	Confirme a ativação da chave. A chave revogada anteriormente entra no estado Ativo.

Excluir a chave revogada

1	Inicie sessão no Control Hub.
2	Ir para Configurações da organização > Gerenciamento de chaves .
3	Vá para a chave revogada.
4	Clique e selecione Excluir .
5	Confirme a exclusão da chave. Uma vez excluído, você tem a opção de restaurar a chave dentro de 30 dias.

Restaurar sua chave revogada

1	Inicie sessão no Control Hub.
2	Ir para Configurações da organização > Gerenciamento de chaves .
3	Vá para a chave excluída.
4	Clique e selecione Undelete .
5	Confirme a restauração da chave. Depois de restaurado, o Control Hub mostra a chave no estado Revogado antes de ser excluído. Por exemplo, se você excluir uma chave revogada e restaurá-la, o Control Hub mostrará a chave restaurada no estado Revogado.

Requisitos

Propriedade

Ao tomar posse de sua chave AWS KMS, você deve:

Assuma a responsabilidade pela criação segura e backup de suas chaves do AWS KMS.
Entenda as implicações de perder suas chaves AWS KMS.
Recriptografe sua chave AMS KMS ativa pelo menos uma vez por ano como uma prática recomendada.

Autorização

Você deve estar autorizado a criar e gerenciar suas chaves no AWS KMS da sua organização Webex.
Você deve ter acesso à sua organização Webex no Control Hub. Você deve ser um administrador completo para gerenciar sua chave AWS KMS.

Criar uma chave AWS KMS

1	Inicie sessão no AWS e vá para o console do AWS KMS.
2	Selecione Chaves gerenciadas pelo cliente e clique em Criar chave .
3	Crie a chave com os seguintes atributos: Tipo de chave — Selecione Symmetric . Uso de chave—Selecione Criptografar e descriptografar . Etiquetas — Insira o alias, a descrição e as marcas. Principais administradores — Selecione as funções e os usuários principais do administrador da sua organização. Exclusão de chave — Marque Permitir que os administradores principais excluam essa chave . Principais usuários—Selecione as principais funções e usuários da sua organização.
4	Clique em Próximo.
5	Revise suas configurações e clique em Concluir . Sua chave AWS KMS é criada.
6	Vá para Chaves gerenciadas pelo cliente e clique no alias ou ID da chave para visualizar o ARN.

O que fazer em seguida

Recomendamos que você mantenha uma cópia temporária do ARN. Este ARN é usado para adicionar e ativar sua chave AWS KMS no Control Hub.

Autorize o Cisco KMS com acesso à chave AWS KMS

Inicie sessão no AWS e vá para o console do AWS CloudShell.

Execute create-grant para autorizar o Webex da seguinte forma:

aws kms create-grant \
              --name {UNIQUE_NAME_FOR_GRANT} \
              --key-id {UUID_Of_AWS_KMS Key} \
              --operations Encrypt Decrypt DescribeKey \
              --grantee-principal {KMS_CISCO_USER_ARN} \
              --retiring-principal {KMS_CISCO_USER_ARN}

Por exemplo:

aws kms create-grant \ 
              --name Cisco-KMS-xxxxxxxx-encrypt-decrypt \ 
              --key-id xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx \ 
              --operations Encrypt Decrypt DescribeKey \ 
              --grantee-principal arn:aws:iam::xxxxxxxxxxxx:user/kms-cisco-user \ 
              --retiring-principal arn:aws:iam::xxxxxxxxxxxx:user/kms- cisco-user

O KMS_CISCO_USER_ARN é específico da sua organização. O ARN é mostrado na janela Adicionar sua chave AWS ao ativar sua nova chave AWK KMS no Control Hub.

Adicione e ative sua chave AWS KMS

Antes de você começar

Você deve criar uma chave AWS KMS antes de ativá-la no Control Hub. Consulte Criar uma chave AWS KMS neste artigo.

Você deve fornecer ao Webex acesso à chave AWS KMS. Consulte Autorizar Cisco KMS com acesso à chave AWS KMS neste artigo.

1	Inicie sessão no Control Hub.
2	Ir para Configurações da organização > Gerenciamento de chave , e alternar Trazer sua própria chave (BYOK) em. Se você desabilitar BYOK, o Chave padrão comum do Webex torna-se a chave principal para sua organização.
3	Selecione Adicionar chave AWS KMS e clique em Próximo .
4	Obtenha o ARN do console AWS.
5	Insira o ARN no Control Hub e clique em Adicionar . O ARN da chave é carregado para o Cisco KMS, onde o acesso à chave é validado. Em seguida, o Control Hub mostra a ID da chave Cisco KMS da sua nova chave AWS KMS e a ID da chave Cisco KMS ativa, se houver. Se esta é sua primeira chave AWS KMS, a chave atualmente ativa é a Chave padrão comum Webex (aquela que atualmente usamos para criptografar as chaves da sua organização).
6	Escolha como você deseja ativar sua chave: Ativar : A nova chave AWS KMS imediatamente entra no estado Ativo. Ativar mais tarde : A nova chave AWS KMS é movida para o estado Pendente. O Webex mantém este ARN de chave AWS KMS no Cisco KMS, mas ainda não o usa. O Webex continua usando a chave AWS KMS atualmente ativa para criptografar as chaves da sua organização.

Gire sua chave AWS KMS

1	Inicie sessão no Control Hub e vá para Configurações da organização > Gerenciamento de chave .
2	Vá para a chave AWS KMS ativa.
3	Clique e selecione Girar .
4	Insira sua nova chave AWS KMS e o novo ARN e clique em Adicionar . O processo está descrito em Adicionar e ativar sua chave AMS KMS neste artigo.
5	Clique em Ativar. A nova chave AWS KMS que você carregou vai para o estado Ativo. A antiga chave AWS KMS permanece no estado Rotativo até que o Webex conclua a criptografia de todo o seu conteúdo com a nova chave AWS KMS ativa. Depois de recriptografar, a antiga chave AWS KMS desaparece automaticamente do Control Hub.

Girar para adicionar outra chave AWS KMS (opcional)

1	Inicie sessão no Control Hub e vá para Configurações da organização > Gerenciamento de chave .
2	Clique em Adicionar outra chave .
3	Insira sua nova chave AWS KMS e clique em Adicionar . O Control Hub mostra a ID da chave Cisco KMS da sua nova chave AWS KMS e a ID da chave Cisco KMS ativa no momento. O processo está descrito em Adicionar e ativar sua chave AMS KMS neste artigo.
4	Clique em Ativar. A nova chave AWS KMS que você carregou vai para o estado Ativo. A antiga chave AWS KMS permanece no estado Rotativo até que o Webex conclua a criptografia de todo o seu conteúdo com a nova chave AWS KMS ativa. Depois de recriptografar, a antiga chave AWS KMS desaparece automaticamente do Control Hub.

Revogue sua chave AWS KMS

1	Inicie sessão no Control Hub e vá para Configurações da organização > Gerenciamento de chave .
2	Vá para a chave AWS KMS ativa no momento.
3	Clique e selecione revogar localmente .
4	Confirme a revogação da chave. Pode até 10 minutos para revogar totalmente sua chave. A chave AWS KMS entra no estado Localmente revogado.

Se o administrador do cliente revogar a chave do console AWS KMS, a chave AWS KMS será exibida no Revogado pelo estado da Amazon no Control Hub.

Excluir sua chave AWS KMS

1	Inicie sessão no Control Hub e vá para Configurações da organização > Gerenciamento de chave .
2	Vá para a chave KMS do AWS revogada.
3	Clique e selecione Excluir .
4	Confirme a exclusão da chave. Uma vez excluído, você pode recuperar a chave dentro de 30 dias.

Recomendamos que você exclua a chave AWS KMS do Control Hub primeiro antes de excluir o CMK do console AWS. Se você excluir seu CMK do console AWS antes de excluir a chave AWS KMS no Control Hub, você pode ter problemas.

Certifique-se de que a chave AWS KMS não esteja mais visível no Control Hub antes de excluir o CMK do console AWS.

Restaure sua chave AWS KMS

1	Inicie sessão no Control Hub e vá para Configurações da organização > Gerenciamento de chave .
2	Vá para a chave AWS KMS excluída.
3	Clique e selecione Undelete .
4	Confirme a restauração da chave. Depois de restaurado, o Control Hub mostra a chave no estado Revogado.

Solucionar problemas da chave AWS KMS

Se você tiver problemas com sua chave AWS KMS, use as seguintes informações para solucioná-la.

ARN chave AWS KMS. Por exemplo, arn:aws:kms:us-east-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab.
Concessão na chave AWS KMS .
Estado-chave do AWS KMS. Por exemplo, a chave AWS KMS está desativada.

Exemplo: Criar e criptografar chaves com OpenSSL

Este exemplo usa a versão 3.0 das ferramentas de linha de comando do OpenSSL. Ver OpenSSL para saber mais sobre essas ferramentas.

1	Inicie sessão no Control Hub.
2	Ir para Configurações da organização > Gerenciamento de chaves .
3	Clique Baixar chave pública . Você obtém a chave pública do Webex HSM em um arquivo .pem no sistema local.
4	Crie uma chave de 256 bits (32 bytes): `openssl rand 32 -out main_key.bin` O exemplo usa o nome de arquivomain_key .bin para sua nova chave não criptografada.
5	Use a chave pública Webex HSM para criptografar sua nova chave: `openssl pkeyutl -encrypt -pubin -inkey path/to/public.pem -in main_key.bin -out main_key_encrypted.bin -pkeyopt rsa_padding_mode:oaep -pkeyopt rsa_oaep_md:sha256` O exemplo usa o nome de arquivomain_key_encrypted .bin para a chave de saída criptografada e o nome do arquivo path/to/public.pem para a chave pública Webex . A chave criptografada está pronta para o carregamento no Control Hub.